Новое вредоносное ПО использует Tor и Bittorrent для кражи биткойнов и эфира
Новый троян Krypto Cibule
Новое вредоносное ПО под названием Krypto Cibule использует мощность зараженных компьютеров для добычи криптовалюты, кражи файлов криптокошелька и перенаправления входящих цифровых активов на адрес хакера. Согласно обширному отчету компании ESET, занимающейся кибербезопасностью, вредоносная программа использует сеть Tor и протокол Bittorrent для выполнения атак.
«Krypto Cibule распространяется через вредоносные торренты для ZIP-файлов, содержимое которых маскируется под установщики взломанного или пиратского программного обеспечения и игр», — подробно рассказали исследователи Матье Фау и Александр Кот Сир в своем отчете, опубликованном 2 сентября.
Вредоносная программа в основном активна в Чехии и Словакии, где на нее были совершены сотни атак. Большинство жертв загрузили вредоносное ПО из файлов, размещенных на популярном в двух странах торрент-сайте uloz.to.
Как это работает
Операции, заложенные в вирусе, который исследователи ESET отслеживают с 2018 года, записываются в XMRig, программу с открытым исходным кодом, которая добывает Monero с помощью ЦП, и kawpowminer, другую программу с открытым исходным кодом, которая добывает Ethereum ( ETH ) с помощью графического процессора. Обе программы настроены для подключения к серверу майнинга, контролируемому хакерами, через прокси-сервер Tor.
Исследователи объясняют то небольшое внимание, которое ранее уделялось трояну и его действиям. Чтобы владелец компьютера ничего не подозревал, вредоносная программа отзывает GPU-майнер, когда заряд батареи ниже 30%, и полностью прекращает работу, когда батарея разряжается ниже 10%.
Операция по захвату буфера обмена маскируется под SystemArchitectureTranslation.exe. Он отслеживает изменения в буфере обмена, чтобы заменить адреса кошельков адресами, контролируемыми оператором вредоносного ПО, с целью неправильного использования средств. На сегодняшний день кошельки, используемые компонентом захвата буфера обмена, получили чуть более 1800 долларов в биткойнах (BTC) и эфириуме.
Exfiltration работает путем обхода файловой системы каждого доступного диска в поисках имен файлов, содержащих определенные термины. Исследователи ESET связали троян с терминами, в основном относящимися к криптовалютам, кошелькам или майнерам, а также с более общими терминами, такими как криптовалюта, сид и пароль. Файлы, которые могут предоставлять данные, такие как закрытые ключи, также являются целью.
Почему такое возможно?
По мнению исследовательской группы, использование легитимных инструментов с открытым исходным кодом, а также широкого спектра методов защиты от обнаружения, вероятно, держало новое вредоносное ПО в тени до сих пор. Krypto Cibule все еще активно развивается, и за его двухлетнюю жизнь были добавлены новые функции.